RealNetworks schließt Sicherheitsloch im RealOne Player

RealNetworks weist in einem Security Advisory auf einen Fehler im RealOne Player hin. Durch eine Schwachstelle beim Abspielen so genannter SMIL-Dateien (Synchronized Multimedia Integration Language), kann ein Angreifer Skripte im Kontext der Sicherheitszone "My Computer" ausführen und damit auf beliebige lokale Dateien zugreifen. Betroffen sind RealOne Player (englische Version), RealOne Player Version 2 für Windows (alle Sprachversionen) und RealOne Enterprise Desktop (alle Versionen, eigenständig und mit der Konfiguration von RealOne Desktop Manager).

Die Entdecker der Schwachstelle, DigitalPranksters, haben bereits einen Proof-of-Concept-Exploit veröffentlicht. RealNetworks empfiehlt zur Beseitigung des Fehlers, den Player über die Funktion "Auf Update überprüfen" zu aktualisieren. Allerdings würden dann, so der Hersteller, einige Präsentationen nicht mehr richtig funktionieren, wie etwa alle Anwendungen, die Javascript als eingebettetes Ereignis in einer .RM-Datei aufrufen.

SMIL-Dateien werden für Multimedia-Präsentationen benutzt und ermöglichen es, Inhalte von unterschiedlichen URLs nachzuladen. Wird als URL ein Scripting-Protokoll angegeben (javascript:), so wird im RealOne Player das Skript im Kontext der vorhergehenden URL ausgeführt, zum Beispiel "My Computer". Diese Zone ist eigentlich nicht vorhanden, Microsoft beschreibt sie wie folgt:"Darüber hinaus werden alle bereits auf dem lokalen Computer befindlichen Dateien als sehr sicher angesehen, sodass ihnen nur minimale Sicherheitseinstellungen zugewiesen werden. Sie können die auf dem Computer befindlichen Ordner bzw. Laufwerke keiner Sicherheitszone zuweisen." Zum Starten einer SMIL-Präsentation bedarf es keiner Benutzerinteraktion. Sind SMIL-Präsentationen als Objekt in einem HTML-Dokument eingebettet, werden sie automatisch ausgeführt.

Siehe dazu auch: (dab)

• Security Advisory von DigitalPranksters
• Security Advisory von RealNetworks
• Synchronized Multimedia Integration Language auf w3.org